PHP是$_SESSION足以保护网页?

MySQL 前端之家
前端之家收集整理的这篇文章主要介绍了PHP是$_SESSION足以保护网页?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

我正在运行一个简单的服务,用户必须登录才能操作特殊的功能.

我的MySQL数据库存储用户名,密码和user_id.

用户想要登录时,他们必须提供发布到profile.PHP用户名和密码.

profile.PHP做了一个简单的检查:

// Sanity Check
if(empty($_POST['smart_email'])|| empty($_POST['smart_password']))
{

    echo 'Sorry,wrong login/passwd';
    exit;
}
else
{
    //
    $smart_email = $_POST['smart_email'];
    $smart_password=$_POST['smart_password'];

    // Check if registerd and password matches
    if(DB_IsAuthorized($smart_email,$smart_password) == true)
    {
        // Obtain proper UserID from the database
        $UserID             = DB_GetId($smart_email);

        // set the session user_id variable
        $_SESSION['user_id'] = $UserID;


        //
        // Display the User profile page
        //
    }

}

从那时起,与用户相关的每个页面都会检查$_SESSION中设置的user_id,以确定此用户是否已登录并已获得授权.

if (isset($_SESSION['user_id']) && is_numeric($_SESSION['user_id']) && $_SESSION['user_id']>0) 
{ 
    // USER IS LOGGED IN 
}

问题是:这个$_SESSION [‘user_id’]是否足以检查来自非登录用户页面

最佳答案
这个问题过于宽泛,但简单的答案是否定的.

首先,您需要使用https来确保通过使用防火墙和其他必需的安全工具来保护用户免受黑客攻击.

其次,您需要使用htaccess来更改扩展名,例如show user .html而不是.PHP

第三,黑客可以轻易地劫持会话.因此,请始终尝试存储加密的会话值而不是纯文本.

还有很多问题要处理,但它过于复杂和广泛.

原文链接:https://www.f2er.com/mysql/434131.html
mysql

猜你在找的MySQL相关文章

Mysql通过frm和ibd恢复数据库
昨天的考试过程中,有个考点的服务器蓝屏重启后发现Mysql启动不了(5.6.45 x32版本,使用in...
MySQL 数据库中的数据类型
整数类型 标准 SQL 中支持 INTEGER 和 SMALLINT 这两种类型,MySQL 数据库除了支持这两种类...
MySQL Select 语句执行顺序
一条 SQL 查询语句结构如下: SELECT DISTINCT <select_list> FROM &lt...
MySQL 数据备份与恢复
数据备份 1. 备份数据库 使用 mysqldump 命令可以将数据库中的数据备份成一个文本文件,表...
MySQL 大表拆分
概述 在实际工作中,在关系数据库(MySQL、PostgreSQL)的单表数据量上亿后,往往会出现查...
MySQL 索引详解
索引的含义和特点 索引是创建在表上的,是对数据库表中一列或多列的值进行排序的一种数据结...
MySQL 索引失效场景总结
查询条件有 or 假设在 customer_name 字段设置了普通索引,执行以下 sql: # type: ref, p...
MySQL 主从复制
概述 MySQL 的高可用主要通过主从复制来实现,同时在主从复制的基础上可以构建一个 MySQL ...
MySQL 日志管理
概述 日志文件记录 MySQL 数据库运行期间发生的变化,当数据库遭到意外的损害时,可以通过...
MySQL 事务和锁
事务概述 当多个用户访问同一份数据时,一个用户在更改数据的过程中,可能有其他用户同时发...
MySQLMsSQLOracleSqlitePostgre SQLMariadbMongoDBNoSQLHBaseJDBC
undo日志persistent-cmysql-error-postal-codesql-match-almysql-5.6mysql-8.0database-tri安装路径系统错误data_dir丢失文件主从同步sql_mode数据库目录匿名用户character_seID归零数据库位置查询表重复字段查询字段截断日志SUSPECT7391Remote ServeLinked Serve玄学问题登录不上开启远程访问